En 2003, Bill Burr avait fait des recommandations au nom du National Institut of Standards and Technology : créer un mot de passe long et le changer tous les 90 jours. Depuis, il est revenu sur ses préconisations. Plutôt que des mots de passe longs et composés de lettres, chiffres et caractères spéciaux, il conseille aujourd’hui d’utiliser un groupe de mots sans lien entre eux. Alors quelle est la meilleure pratique pour se protéger des attaques ?
Renouveler son mot de passe, oui, mais à quelle fréquence ?
Osons ouvrir ce débat. Quand une politique de sécurité préconise 3 mois pour certains usages, et 2 mois et demi pour d’autres, elle manque de pragmatisme. Une périodicité de renouvellement courte oblige les utilisateurs à tricher. Si l’utilisateur dérive le nom du mois comme un composant d’un mot de passe complexe, sans l’utiliser directement, c’est une bonne pratique. Mais appliquer un mot de passe temporaire pour remettre le même immédiatement est risqué.
C’est pourquoi, dès 2015, le Communication Electronic Security Group (l’équivalent britannique de l’ANSSI ) commençait à réévaluer la balance bénéfice/risque, et communiquait sur l’assouplissement des durées de renouvellement. L’ANSSI reprend également doucement la même idée.
Faut-il réserver le renouvellement le plus fréquent aux mots de passe les plus privilégiés ? Des périodes très courtes sont discutables. Le mot de passe le plus privilégié est celui qu’on utilise le moins souvent. Et si un bon mot de passe complexe n’est pas utilisé, le niveau de risque est plus faible. Il serait absurde que la fréquence de renouvellement du mot de passe soit supérieure à la fréquence moyenne d’utilisation…
Plutôt que de réduire la périodicité de renouvellement du mot de passe le plus privilégié de l’entreprise à un mois, travaillons plutôt sur les délégations de privilèges pour que ce mot de passe soit utilisé moins d’une fois par mois. Cependant, le renouvellement des mots de passe est obligatoire. Il est le seul moyen de donner à nos mots de passe leur « droit à l’oubli », pour contrer des menaces parfois décalées dans le temps. Une période d’un an semble un compromis acceptable humainement et assez courant. Bien entendu, en cas de compromission avérée, le renouvellement immédiat s’impose.
Malwares et autres virus : à l’assaut de nos mots de passe !
Eux-aussi s’intéressent aux mots de passe enregistrés dans le système, que ce soit sur des serveurs professionnels, l’ordinateur du salon ou un smartphone. Le ransomware NotPetya de juin 2017 par exemple, embarque une version du logiciel libre Mimikatz, un autre outil libre de craquage des bases de comptes/mot de passe Windows. Pour ensuite se répliquer comme un ver via les mécanismes d’exécution à distance ordinaires de Windows, sur les ordinateurs voisins du réseau qui partageraient les mêmes identités, et même si ceux-ci sont à jour de leurs patchs.
Mais depuis des années, les virus et autres malwares dont le spam nous inonde s’intéressent à nos bases de mots de passe, pour les exfiltrer, les déchiffrer, et alimenter des dictionnaires et autres bases de comptes volés.
Les Keyloggers sont des malwares qui vont avoir un angle d’attaque différent : il s’agit d’intercepter les frappes clavier pour les exfiltrer, et les faire traiter à l’extérieur. Contre de telles attaques, certains éditeurs de service ont mis un « code PIN » sur un digicode affiché à l’écran, sur lequel il faut cliquer à la souris sur des chiffres qui ne sont jamais à la même place. Une autre mesure de sécurité serait une application stricte du principe de moindre privilège dans l’installation même du système d’application : une application qui s’exécute avec l’identité d’un utilisateur standard ne devrait pas disposer des privilèges pour intercepter les frappes clavier. Malheureusement, de telles mesures sont complexes à mettre en pratique, et la plupart des ordinateurs grand public sont utilisés quotidiennement avec l’unique compte privilégié créé en usine.
Le programme malveillant peut également se trouver dans une simple page web qui peut être utilisée pour le diffuser. Mais cette page peut aussi intercepter des informations de manière extrêmement sournoise. Les pages web modernes sont de véritables programmes informatiques, Javascript est leur langue maternelle.
Sur votre poste, le presse papier est unique et partagé pour toutes les applications. Un programme en Javascript peut demander à votre navigateur d’être notifié si la souris vient à passer sur la page, sans même cliquer. Juste en la survolant. Et donc exfiltrer le contenu du presse papier à ce moment-là.
Où est le risque ? Si plusieurs pages sont ouvertes en même temps, et qu’on utilise le presse papier pour copier/coller un mot de passe complexe depuis son gestionnaire de mot de passe, l’affaire est faite. Et dans ce cas, l’application n’a pas besoin de privilèges sur le système. Donc, la règle « composez votre code à l’abris des regards indiscrets » s’applique ici : lorsque vous allez gérer vos comptes en ligne, fermez les autres fenêtres et autres applications.
Sur un réseau d’entreprise compromis, un voyou agissant à distance par le biais d’un malware va pouvoir récupérer des informations par l’interception des flux. Des hotspots d’accès publics, bien situés dans des quartiers d’affaires, sont un gisement pour l’espionnage économique. Un voyou qui intercepterait le Wifi dans le TGV saura sans problème revendre les informations interceptées et faire une bonne marge sur le prix du billet première classe.
Comme les flux réseau ne doivent pas être considérés comme sûrs, on ne devrait jamais utiliser un mot de passe sur une application qui va le transmettre en clair. Sur les navigateurs web, c’est notamment le petit cadenas qui nous informe que la transmission est bien chiffrée.
Les mots de passe par défaut, une calamité !
A l’automne 2016, un botnet s’est fait particulièrement remarquer en établissant des records de débit pour une attaque de déni de service volumétrique distribuée. Ce botnet nommé Mirai était spécifiquement conçu pour s’attaquer à certains modèles de webcams largement diffusés sur la planète. Et ce ver utilisait simplement le fait que la plupart des utilisateurs, grand public, ne changent pas le mot de passe par défaut de l’appareil qu’ils viennent d’acheter en grande surface.
Il existe sur internet un « bruit de fond » généré par toutes sortes de machines malveillantes, qui consiste à détecter les systèmes connectés, les versions des logiciels, pour les cataloguer et les infiltrer. Un Raspberry Pi par exemple, ce mini-ordinateur prisé des « geeks » et amateurs de domotique, qui serait exposé à internet avec son mot de passe par défaut, sera certainement compromis plus rapidement qu’un piéton sur la bande d’arrêt d’urgence.
Un fabricant va préférer se décharger sur l’utilisateur du changement de mot de passe, par une phrase dans le manuel, plutôt que d’intégrer dans la logistique son processus de fabrication la gestion d’un mot de passe différent pour chaque appareil. Dans de rares cas, le mot de passe initial est égal au numéro de série. Ce serait une bonne pratique à généraliser pour palier la négligence de certains utilisateurs pressés, sans quoi l’internet des objets pourrait tourner au cauchemar. Changez toujours les mots de passe par défaut dès le départ !
Les pratiques à risque des utilisateurs.
Les utilisateurs à qui l’on impose une contrainte réagissent parfois avec de manière contre-productive. Quand une organisation impose pour la première fois la complexité des mots de passe, on voit fleurir les post-it sur les écrans ou sous les claviers. Cette méthode de mémorisation est bien sûr vulnérable : un collègue mal intentionné, la remplaçante de la femme de ménage pendant les vacances… Ce post-it, si démuni même face à un courant d’air, n’est définitivement pas une bonne idée.
L’utilisateur peut également demander à son navigateur d’enregistrer les mots de passe des applications web. Il faut savoir que de petits outils extrêmement simples d’utilisation permettent d’extraire ces mots de passe. Comme nous l’avons vu précédemment, selon la complexité des mots de passe, et les moyens techniques de protection, cette récupération est plus ou moins rapide. Demander à son navigateur de retenir les mots de passe, sans utiliser a minima une « clé maître », est très dangereux. Ces « magasins de mots de passe » sont également convoités par les voyous, tout autant que la base des comptes du système d’exploitation.
Beaucoup de sites permettent simplement au navigateur de « se souvenir de moi ». Dans ce cas, il n’y a même plus vraiment d’authentification. Ce genre de faiblesse semble être à l’origine du fait divers ayant touché le Ministère de la Culture en juillet dernier, lors duquel le fils d’une responsable a pu poster quelques messages malvenus sur le compte Twitter du Ministère. Doit-on considérer qu’il y a eu effraction alors que la porte était restée ouverte ?
Enfin, même l’expert bien renseigné et aguerri peut faire une étourderie : qui n’a jamais essayé le mot de passe d’un système dans un autre système ? Normalement, un concepteur d’application sait qu’il ne devrait pas faire figurer les mots de passe tentés dans les journaux de l’application, mais est-ce bien le cas ?
Comment retenir autant de mots de passe ?
Et oui, c’est le dilemme. Respecter scrupuleusement toutes ces règles n’est plus accessible à un utilisateur normal.
La solution la plus communément admise est ce que l’on appelle un « magasin de mot de passe » ou « gestionnaire de mot de passe ». Ce qui est assez proche d’ailleurs de ce que propose votre navigateur avec « se souvenir du mot de passe ». Mais un tel outil, plus spécialisé, va apporter des garanties supérieures de robustesse, et surtout centraliser les secrets pour toutes vos applications. Le programme « KeePass 2 » par exemple, a été certifié par l’ANSSI suite à un audit de code. Le logiciel de la startup Lybéro est écrit par des virtuoses français de la cryptographie. Encore un outil supplémentaire à gérer, qui parfois va s’intégrer dans vos applications, mais dans d’autres cas va dégrader l’ergonomie. C’est bien la même armure qui est si lourde à porter, et qui protège au combat.
Lorsqu’on choisit un tel outil, on doit également savoir si on est prêt à stocker ses mots de passe « dans le Cloud ». En effet, certains de ces produits ne sont disponibles qu’en mode « Cloud ». Et on parle ici d’externaliser les secrets les plus secrets de son organisation ! Certains produits vont garantir un chiffrement de bout en bout, depuis votre terminal, garantissant « by design » que même une compromission au niveau du service Cloud ne met pas en péril la confidentialité de vos mots de passe. C’est un point important à prendre en compte. En contrepartie, un outil qui fonctionnerait simplement en local vous apporte un contrôle total, mais ne permet pas la même mobilité. A chacun d’arbitrer en toute connaissance de cause. Et sans oublier les risques différés dans le temps que nous avons évoqués plus haut : votre prestataire Cloud n’a peut-être pas aujourd’hui « by design » les moyens techniques d’outrepasser les protections qu’il a lui-même conçues.
Mais une agence de renseignement étrangère n’aura-t-elle pas ces moyens techniques dans quelques années ? Souvenons-nous du téléphone de la tuerie de San Bernadino, que le FBI aurait finalement réussi à « ouvrir » sans l’aide d’Apple…
Il est probable que nous voyions apparaître prochainement des « gestionnaire de mots de passe matériels ». Par exemple, on trouve sur internet plusieurs projets souvent libres d’amateurs d’informatique et microélectronique, vous permettant de stocker sur un équipement matériel les mots de passe. Souvent, l’équipement se branche en USB sur le PC, et se présente comme un clavier qui tape les mots de passe de manière automatisée. Ce système reste vulnérable à des attaques par keylogger, mais semble néanmoins plus robuste qu’un gestionnaire de mots de passe logiciel qui serait contenu sur la même machine que celle sur laquelle les mots de passe sont utilisés. Encore une fois, la sécurité du gestionnaire de mots de passe est dépendante de celle de son environnement, on pense notamment ici au contrôle des droits d’exécution et le moindre privilège pour les utilisateurs normaux.
L’utilisation de dispositifs de sécurité matériels nous ramène à l’authentification forte. Car effectivement, il est très difficile de faire parler une puce en silicium si son programme ne le permet pas. Un dispositif de sécurité matériel populaire est la Yubikey, qui n’est pas sans rapport avec l’initiative « U2F ». Ce n’est pas un gestionnaire de mots de passe, mais un outil de choix pour garder la porte du gestionnaire de mots de passe. La boucle est bouclée avec le début de cet article : la confiance peut venir d’une puce personnelle.
Si aujourd’hui encore, il est possible de considérer qu’un mot de passe est fiable, c’est bien au prix d’une certaine rigueur de chaque instant. C’est pourquoi des mécanismes complémentaires ou alternatifs d’authentification sont à utiliser quand ils sont disponibles, de façon à simplifier la vie des utilisateurs finaux. Et effectivement, les mots de passe seuls vont certainement être progressivement moins utilisés, et peut être finalement cantonnés à des profils d’administration, pour des informaticiens et spécialistes. Mais il est peu probable qu’ils disparaissent complètement avant plusieurs décennies. Alors non, le mot de passe n’est pas encore obsolète !
